Spyware popup windows xp

paardengek · 31 maart 2008

Goedemorgen,

Mijn deense kennissen hebben sinds gister een vervelende popup op het bureaublad. Deze popup vermeldt, dat er spyware is gedetecteerd en verzoekt om op een link te drukken. Ik heb mijn kennissen met klem ontraden om op die link te drukken.

De popup verschijnt onmiddelijk na windows start op het bureaublad en het achtergrond van het bureaublad is niet meer gevuld met de ingestelde foto.

In de veilige modes verschijnt de popup niet.

Het betreft een deense windows xp computer.

Hier de Hijackthis log file:

Logfile of HijackThis v1.99.1

Scan saved at 20:55:15, on 30-03-2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmer\CA\eTrust Antivirus\InoRpc.exe

C:\Programmer\CA\eTrust Antivirus\InoRT.exe

C:\Programmer\CA\eTrust Antivirus\InoTask.exe

C:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\All Users\Application Data\dkreruhc\nwfklabk.exe

C:\WINDOWS\zHotkey.exe

C:\Programmer\Java\jre1.6.0_05\bin\jusched.exe

C:\WINDOWS\system32\qttask.exe

C:\Programmer\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Programmer\CA\eTrust Antivirus\Realmon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\rcfsvqba.exe

C:\Programmer\Windows Media Player\WMPNSCFG.exe

C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe

C:\Programmer\Internet Explorer\iexplore.exe

C:\Programmer\Outlook Express\msimn.exe

C:\Documents and Settings\Anneke\Dokumenter\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer leveret af DLG Tele

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmer\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar3.dll

O3 - Toolbar: stfngdvw - {E0BF9DFC-70C4-4A6A-B57C-28AC00C74E5D} - C:\WINDOWS\stfngdvw.dll

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [CHotkey] zHotkey.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmer\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime

O4 - HKCU\..\Run: [swg] C:\Programmer\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Realmon] C:\Programmer\CA\eTrust Antivirus\Realmon.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bbfydhty] C:\WINDOWS\system32\rcfsvqba.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmer\Windows Media Player\WMPNSCFG.exe

O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_05\bin\ssv.dll

O11 - Options group: [iNTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://www.dlg.dk

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5...b?1102509702906

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=19588

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\lic98rmt.exe

O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\lic98rmtd.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmer\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programmer\CA\eTrust Antivirus\InoRpc.exe

O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programmer\CA\eTrust Antivirus\InoRT.exe

O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programmer\CA\eTrust Antivirus\InoTask.exe

O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Dit vertrouw ik niet:

zHotkey.exe

Maar ik wil proberen om op afstand deze computer te ontdoen van zijn spyware rommel. De gebruiker in denemarken is geen computer expert.

Wat is de beste methode hiervoor ?

Ik denk om via een bepaald programma even de besturing van die pc over te nemen. Welke is eenvoudig te installeren op de besmette pc ?

Met vriendelijke groet, paardengek

Jan Ambers · 31 maart 2008

Er is veel te veel tijdens de opstart geaktiveerd om het vlot te kunnen zeggen wat juist!

Heb ook al zoiets soortgelijks meegemaakt en was een opdracht, een exe file die geaktiveerd werd en die in de windows/system32 dir zat...

En aangezien er zo veel in zit zal dit wel een moeilijke opdracht worden!!!

paardengek · 31 maart 2008

Het is inderdaad een moeilijke opdracht, maar het is van mij dan ook een uitdaging.

Die hotkey kan waarschijnlijk alleen in de veilige modes worden verijderd. Maar daar hoort vast ook een .dll bestand bij. Welke dat is ?

Om er heen te rijden, vind ik nu net wat te gek. Ik ben in het paas weekend bij hun geweest.

Met vriendelijke groet, paardengek

Jan Ambers · 31 maart 2008

In vlaanderen zegt men:"Elk kent zijnen zot"...

Maar anders gezegd hij zou moeten weten welke progr er geaktiveerd worden op zijn systeem tijdens de opstart!

Aan de hand daarvan kan ie er een aantal verwijderen die niet "noodzakelijk zijn, soms lukt dit met Hijackthis soms moet er Unlocker bij gebruikt worden...

Soms kunnen idd bepaalde "vreemde" *.dll files de oorzaak zijn, vooral als juf of meneer "vreemd" zijn geweest

Ik zou d'r ne hoop rommel uithalen en me beperken tot het nodige tijdens de opstart.

Als ie zijn virscanner aktiveerd en zijn systeem opnieuw laat scannen, moet ie toch wat vinden?

Spybot S&D helpt ook wel!

paardengek · 31 maart 2008

Het systeem is gescand door:

Trust antivirus

AVG spyware 7.5

Resultaat: Niets gevonden, maar toch is de spyware actief.

Citaat:

Soms kunnen idd bepaalde "vreemde" *.dll files de oorzaak zijn, vooral als juf of meneer "vreemd" zijn geweest

Ik denk hier sterk aan.

Misschien dat adware van lavasoft nog uitkomst biedt.

Maar, eigenlijk zoek ik een programma, zodat ik even die computer op afstand beheer.

Met vriendelijke groet, paardengek

WPW · 31 maart 2008

Origineel bericht van: paardengek

Maar, eigenlijk zoek ik een programma, zodat ik even die computer op afstand beheer.

Met vriendelijke groet, paardengek

Al vaker aanbod geweest hiero, teamviewer.

paardengek · 31 maart 2008

Oké. Bedankt voor je tip. Ik zal vanavond laat eens op onderzoek uit via google en via sat4all.

Met vriendelijke groet, paardengek

31 maart 2008

Ik zou deze eens snel verwijderen:

C:\Documents and Settings\All Users\Application Data\dkreruhc\nwfklabk.exe

en deze is ook niet helemaal koosjer imo:

C:\WINDOWS\system32\rcfsvqba.exe

Met een snelle Google zoekopdracht kan ik ze ook niet vinden ...

Zo te zien worden ze 'gewoon' geladen bij het opstarten en zou je ze met behulp van MsConfig kunnen uitvinken.

Voor remote toegang kun je kijken naar de Remote Desktop van Windows zelf of UltraVNC.

Ome Merde · 31 maart 2008

1. online scan met bitdefender : http://www.bitdefender.com/scan8/ie.html

2. spyware-scan met ad-aware ( klik )

3. spyware-scan met spybot ( klik )

4. rotzooi ff opruimen met CrapCleaner ( klik )

knappe spyware die dan nog overleefd.

eventueel na bovenstaande scans nog even een hijackthis-logje plaatsen

check ook ff wat er allemaal geladen met msconfig

merDe

paardengek · 31 maart 2008

Ik zal het één en ander nog nalezen. Ik probeer aankomende zaterdag deze rotzooi van afstand eraf te halen.

Bedankt voor de tips.

Met vriendelijke groet, paardengek

paardengek · 5 april 2008

Goedemorgen,

Mooi programma, teamviewer.

Maar even één vraag: ik ben nu via teamviewer ingelogd op de besmette pc. Deze pc heeft nu als gebruiker: administrator rechten. Maar via teamviewer heb ik dat dus niet.

En eigenlijk wil ik een proces stoppen via: taskmgr.exe

Dan krijg ik een popup te zien, dat ik geen administrator rechten heb.

Hoe kan administrotor rechten dit wel krijgen ?

P.S. De moeilijkheidsgraad is dat de besmette pc op Deenstalige windows xp draait.

Met vriendelijke groet, paardengek

paardengek · 5 april 2008

Ik denk dat ik de pc schoon heb.

Het viel niet mee. Zo was taskmgr.exe uitgeschakeld in het register.

TrojanDownloader.XS was de boosdoener.

Gescand met:

Malwarebytes Antimalware. Deze haalden via een reboot trojan.fake.alert eruit ( rcfsvqba.exe; dwltqnmx.exe en stfnguvw.dll ) Ook verdween rogue pccleaner. En ook verdween deze: trojan_agent mssecu.exe / Itunesmusic.exe

Daarna Tuneup-utility 2007 ; adware 2007 en Cccleaner gedraaid.

Toen bleef ik nog zitten met zHotkey.exe.

Even in het register aan het rommelen geweest:

Twee register sleutels verwijderd: local_machiene/software/microsoft/windows/CurrentVersion/policies

Daarna was taskmgr.exe op te starten en kon deze zHotkey.exe stoppen en verwijderen.

Nu nog even systeem herstel uit en daarna weer inschakelen.

En dan draait het weer zo als het moet:

Logfile of HijackThis v1.99.1

Scan saved at 14:49:25, on 05-04-2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programmer\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmer\CA\eTrust Antivirus\InoRpc.exe

C:\Programmer\CA\eTrust Antivirus\InoRT.exe

C:\Programmer\CA\eTrust Antivirus\InoTask.exe

C:\Programmer\CA\SharedComponents\CA_LIC\LogWatNT.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmer\Java\jre1.6.0_05\bin\jusched.exe

C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Programmer\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Programmer\CA\eTrust Antivirus\Realmon.exe

C:\Programmer\Windows Media Player\WMPNSCFG.exe

C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Documents and Settings\Anneke\temp\TeamViewer3\TeamViewer.exe

C:\Documents and Settings\Anneke\Dokumenter\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer leveret af DLG Tele

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmer\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar3.dll

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmer\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [swg] C:\Programmer\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Realmon] C:\Programmer\CA\eTrust Antivirus\Realmon.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmer\Windows Media Player\WMPNSCFG.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_05\bin\ssv.dll

O11 - Options group: [iNTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://www.dlg.dk

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmer\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5...b?1102509702906

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=19588

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmer\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmer\Grisoft\AVG Anti-Spyware 7.5\guard.exe